소개

글을 썼을 때 바로 예약하겠습니다. 이 리뷰, 저는 주로 통신 사업자와 해당 데이터 네트워크의 업무를 구체적으로 이해하는 청중에게 초점을 맞췄습니다. 이 문서에서는 DDoS 공격에 대한 기본 보호 원칙, 지난 10년간의 개발 내역 및 현재 상황을 간략하게 설명합니다.

DDoS란 무엇입니까?

아마도 오늘날 모든 "사용자"는 아니더라도 적어도 모든 "IT 전문가"는 DDoS 공격이 무엇인지 알고 있을 것입니다. 하지만 아직 몇 마디 말을 해야 합니다.

DDoS 공격(분산 서비스 거부)은 합법적인 사용자가 컴퓨터 시스템(네트워크 리소스 또는 통신 채널)에 액세스할 수 없도록 만드는 것을 목표로 하는 공격입니다. DDoS 공격에는 인터넷에 있는 하나 이상의 컴퓨터에서 특정 리소스를 향해 동시에 많은 수의 요청을 보내는 것이 포함됩니다. 수천, 수만 또는 수백만 대의 컴퓨터가 동시에 특정 서버(또는 네트워크 서비스)에 요청을 보내기 시작하면 서버가 이를 처리할 수 없거나 이 서버에 대한 통신 채널에 대한 대역폭이 충분하지 않게 됩니다. . 두 경우 모두 인터넷 사용자는 공격받은 서버에 액세스할 수 없으며 차단된 통신 채널을 통해 연결된 모든 서버 및 기타 리소스에도 액세스할 수 없습니다.

DDoS 공격의 일부 특징

DDoS 공격은 누구를 대상으로, 어떤 목적으로 시작됩니까?

DDoS 공격은 인터넷의 모든 리소스에 대해 실행될 수 있습니다. DDoS 공격으로 인해 가장 큰 피해를 입는 기업은 은행(인터넷 뱅킹 서비스 제공), 온라인 상점, 거래 플랫폼, 경매 및 인터넷에서의 존재 여부(여행사, 항공사, 장비 및 소프트웨어 제조업체 등)에 따라 활동 및 효과가 크게 달라지는 기타 유형의 활동. 이러한 거대 기업의 리소스에 대해 DDoS 공격이 정기적으로 시작됩니다. IBM, Cisco Systems, Microsoft 등과 같은 글로벌 IT 산업의 eBay.com, Amazon.com 및 많은 유명 은행과 조직에 대해 대규모 DDoS 공격이 관찰되었습니다.

DDoS 공격은 정치 조직, 기관 또는 유명 인사의 웹 표현을 대상으로 실행되는 경우가 많습니다. 많은 사람들이 2008년 조지아-오세티야 전쟁 중 조지아 대통령의 웹사이트(2008년 8월부터 몇 달 동안 웹사이트를 사용할 수 없었음)와 에스토니아 정부 서버를 대상으로 시작된 대규모의 장기간 DDoS 공격에 대해 알고 있습니다. (2007년 봄, 청동 병사 이송과 관련된 불안 기간 중), 미국 사이트에 대한 북한 인터넷 부문의 주기적인 공격에 대해 설명합니다.

DDoS 공격의 주요 목적은 협박과 갈취를 통해 이익(직접 또는 간접)을 추출하거나 정치적 이익을 추구하거나 상황을 확대하거나 보복하는 것입니다.

DDoS 공격을 시작하는 메커니즘은 무엇입니까?

DDoS 공격을 실행하는 가장 널리 사용되고 위험한 방법은 봇넷(BotNet)을 사용하는 것입니다. 봇넷은 특수 소프트웨어 북마크(봇)가 설치된 컴퓨터 집합으로, 영어로 번역하면 봇넷은 봇 네트워크입니다. 봇은 일반적으로 해커가 각 봇넷에 대해 개별적으로 개발하며, 봇넷 제어 서버(Botnet Command and Control Server)에서 수신한 명령에 따라 인터넷의 특정 리소스에 요청을 보내는 것이 주요 목표입니다. 봇넷 제어 서버는 해커 또는 봇넷을 구입한 사람과 해커로부터 DDoS 공격을 시작할 수 있는 능력에 의해 제어됩니다. 봇이 인터넷에 퍼지고 있다 다른 방법들, 일반적으로 취약한 서비스가 있는 컴퓨터를 공격하고 소프트웨어 북마크를 설치하거나 사용자를 속이고 완전히 무해하거나 심지어 수행하는 다른 서비스나 소프트웨어를 제공하는 것처럼 가장하여 봇을 설치하도록 강요합니다. 유용한 기능. 봇을 확산시키는 방법에는 여러 가지가 있으며 정기적으로 새로운 방법이 발명됩니다.

봇넷이 수만 대 또는 수십만 대의 컴퓨터로 충분히 큰 경우 이러한 모든 컴퓨터에서 특정 네트워크 서비스(예: 특정 사이트의 웹 서비스)를 향해 완전히 합법적인 요청을 동시에 전송하면 다음과 같은 결과가 발생합니다. 서비스 자체나 서버의 리소스가 고갈되거나 통신 채널 기능이 고갈됩니다. 어떠한 경우에도 이용자는 서비스를 이용할 수 없게 되며, 서비스 소유자는 직·간접적, 명예에 손해를 입게 됩니다. 그리고 각 컴퓨터가 초당 하나의 요청이 아니라 수십, 수백, 수천 개의 요청을 보내면 공격의 영향이 여러 배 증가하여 가장 생산적인 리소스나 통신 채널도 파괴될 수 있습니다.

일부 공격은 보다 "무해한" 방식으로 시작됩니다. 예를 들어, 합의에 따라 다음을 실행하는 특정 포럼 사용자의 플래시몹이 있습니다. 특정 시간특정 서버를 향한 컴퓨터의 "핑" 또는 기타 요청. 또 다른 예는 인기 있는 인터넷 리소스에 웹 사이트에 대한 링크를 배치하여 사용자가 대상 서버로 유입되는 것입니다. "가짜" 링크(외관상으로는 하나의 리소스에 대한 링크처럼 보이지만 실제로는 완전히 다른 서버에 대한 링크)가 소규모 조직의 웹사이트를 참조하지만 인기 있는 서버나 포럼에 게시된 경우 이러한 공격으로 인해 다음과 같은 문제가 발생할 수 있습니다. 이 사이트에 원치 않는 방문자 유입. 마지막 두 가지 유형의 공격으로 인해 적절하게 구성된 호스팅 사이트에서 서버 가용성이 중단되는 경우는 거의 없지만 2009년 러시아에서도 그러한 사례가 있었습니다.

DDoS 공격에 대한 기존의 기술적 보호 수단이 도움이 될까요?

DDoS 공격의 특징은 여러 개의 동시 요청으로 구성되어 있으며 각 요청은 개별적으로 완전히 "합법적"입니다. 더욱이 이러한 요청은 가장 일반적인 실제 사용자 또는 잠재적 사용자에게 속할 수 있는 컴퓨터(봇에 감염됨)에 의해 전송됩니다. 공격받은 서비스나 리소스의 따라서 표준 도구를 사용하여 DDoS 공격을 구성하는 요청을 정확하게 식별하고 필터링하는 것은 매우 어렵습니다. 표준 시스템클래스 IDS/IPS(침입 탐지/방지 시스템 - 네트워크 공격 탐지/방지 시스템)는 이러한 요청에서 “악성 말뭉치”를 찾지 않으며, 트래픽 이상에 대한 질적 분석을 수행하지 않는 한 공격의 일부임을 이해하지 못합니다. . 그리고 발견하더라도 불필요한 요청을 필터링하는 것도 그리 쉽지 않습니다. 표준 방화벽과 라우터는 명확하게 정의된 액세스 목록(제어 규칙)을 기반으로 트래픽을 필터링하고, 프로필에 "동적으로" 적응하는 방법을 모릅니다. 특정 공격. 방화벽소스 주소, 사용된 네트워크 서비스, 포트 및 프로토콜과 같은 기준을 기반으로 트래픽 흐름을 조절할 수 있습니다. 그러나 일반 인터넷 사용자는 가장 일반적인 프로토콜을 사용하여 요청을 보내는 DDoS 공격에 가담합니다. 통신 사업자는 모든 사람과 모든 것을 금지하지 않습니까? 그런 다음 가입자에게 통신 서비스 제공을 중단하고 서비스를 제공하는 네트워크 리소스에 대한 액세스 제공을 중단합니다. 이는 실제로 공격 개시자가 달성하려는 것입니다.

많은 전문가들은 트래픽의 이상 징후 탐지, 트래픽 프로필 및 공격 프로필 구축, 후속 동적 다단계 트래픽 필터링 프로세스로 구성된 DDoS 공격 방지를 위한 특수 솔루션의 존재를 알고 있을 것입니다. 그리고 이 기사에서는 이러한 솔루션에 대해서도 조금 나중에 이야기하겠습니다. 먼저, 데이터 네트워크와 그 관리자의 기존 수단을 통해 DDoS 공격을 억제하기 위해 취할 수 있는 잘 알려지지 않았지만 때로는 매우 효과적인 조치에 대해 이야기하겠습니다.

사용 가능한 수단을 사용하여 DDoS 공격으로부터 보호

일부 특수한 경우 DDoS 공격을 억제할 수 있는 몇 가지 메커니즘과 "트릭"이 있습니다. 일부는 데이터 네트워크가 특정 제조업체의 장비에 구축된 경우에만 사용할 수 있으며 다른 일부는 어느 정도 보편적입니다.

Cisco Systems 권장 사항부터 시작해 보겠습니다. 이 회사 전문가들은 네트워크 관리 수준(Control Plane), 네트워크 관리 수준(Management Plane), 네트워크 데이터 수준(Data Plane) 보호를 포함하는 네트워크 기반 보호(Network Foundation Protection)를 제공할 것을 권장합니다.

관리 플레인 보호

"관리 계층"이라는 용어는 라우터 및 기타 장치를 관리하거나 모니터링하는 모든 트래픽을 포괄합니다. 네트워크 장비. 이 트래픽은 라우터를 향하거나 라우터에서 시작됩니다. 이러한 트래픽의 예로는 Telnet, SSH 및 http(s) 세션, syslog 메시지, SNMP 트랩이 있습니다. 일반적인 모범 사례는 다음과 같습니다.

암호화 및 인증을 사용하여 관리 및 모니터링 프로토콜의 최대 보안을 보장합니다.

• SNMP v3 프로토콜은 보안 조치를 제공하는 반면 SNMP v1은 실제로 제공하지 않으며 SNMP v2는 부분적으로만 제공합니다. 기본 커뮤니티 값은 항상 변경해야 합니다.
• 공공 및 민간 커뮤니티에 대해 서로 다른 값을 사용해야 합니다.
• 텔넷 프로토콜은 로그인 및 비밀번호를 포함한 모든 데이터를 일반 텍스트로 전송합니다(트래픽이 차단되면 이 정보를 쉽게 추출하여 사용할 수 있음). 대신 항상 ssh v2 프로토콜을 사용하는 것이 좋습니다.
• 마찬가지로 http 대신 https를 사용하여 장비에 액세스하고, 적절한 비밀번호 정책, 중앙 집중식 인증, 권한 부여 및 계정(AAA 모델), 중복 목적을 위한 로컬 인증을 포함하여 장비에 대한 엄격한 액세스 제어를 수행합니다.

역할 기반 액세스 모델 구현

액세스 제어 목록을 사용하여 소스 주소별로 허용된 연결을 제어합니다.

사용하지 않는 서비스를 비활성화합니다. 이 서비스 중 다수는 기본적으로 활성화되어 있습니다(또는 시스템을 진단하거나 구성한 후 비활성화하는 것을 잊었습니다).

장비 자원의 사용을 모니터링합니다.

마지막 두 가지 사항에 대해 더 자세히 살펴볼 가치가 있습니다.
기본적으로 켜져 있거나 장비를 구성하거나 진단한 후 꺼지는 것을 잊은 일부 서비스는 공격자가 기존 보안 규칙을 우회하는 데 사용될 수 있습니다. 이러한 서비스 목록은 다음과 같습니다.

• PAD(패킷 어셈블러/디스어셈블러);

당연히 이러한 서비스를 비활성화하기 전에 해당 서비스가 네트워크에 필요한지 신중하게 분석해야 합니다.

장비 자원의 사용을 모니터링하는 것이 좋습니다. 이를 통해 첫째, 개별 네트워크 요소의 과부하를 적시에 파악하고 사고 예방 조치를 취할 수 있으며, 둘째, 특별한 수단으로 탐지가 제공되지 않는 경우 DDoS 공격 및 이상 현상을 탐지할 수 있습니다. 최소한 다음을 모니터링하는 것이 좋습니다.

• CPU 로드
• 메모리 사용량
• 라우터 인터페이스의 혼잡.

모니터링은 "수동"(장비 상태를 주기적으로 모니터링)으로 수행할 수 있지만, 물론 특수 네트워크 모니터링 또는 모니터링 시스템을 사용하여 수행하는 것이 더 좋습니다. 정보 보안(후자는 Cisco MARS를 포함합니다).

컨트롤 플레인 보호

네트워크 관리 계층에는 지정된 토폴로지 및 매개변수에 따라 네트워크의 기능과 연결을 보장하는 모든 서비스 트래픽이 포함됩니다. 컨트롤 플레인 트래픽의 예로는 모든 라우팅 프로토콜(경우에 따라 SSH 및 SNMP 프로토콜, ICMP 포함)을 포함하여 경로 프로세서(RR)에서 생성되거나 해당 경로로 향하는 모든 트래픽이 있습니다. 라우팅 프로세서의 기능에 대한 모든 공격, 특히 DDoS 공격은 네트워크 기능에 심각한 문제와 중단을 초래할 수 있습니다. 다음은 제어 영역을 보호하기 위한 모범 사례입니다.

컨트롤 플레인 폴리싱

이는 QoS(서비스 품질) 메커니즘을 사용하여 사용자 트래픽(공격이 포함됨)보다 제어 플레인 트래픽에 더 높은 우선 순위를 부여하는 것으로 구성됩니다. 이를 통해 서비스 프로토콜 및 라우팅 프로세서의 작동, 즉 네트워크의 토폴로지 및 연결 유지는 물론 패킷의 실제 라우팅 및 전환이 보장됩니다.

IP 수신 ACL

이 기능을 사용하면 라우터 및 라우팅 프로세서를 위한 서비스 트래픽을 필터링하고 제어할 수 있습니다.

• 트래픽이 라우팅 프로세서에 도달하기 전에 라우팅 장비에 직접 적용되어 "개인" 장비를 보호합니다.
• 트래픽이 일반 액세스 제어 목록을 통과한 후에 적용됩니다. 이는 라우팅 프로세서로 가는 길에 있는 마지막 보호 수준입니다.
• 모든 트래픽(통신 사업자 네트워크와 관련된 내부, 외부 및 전송 모두)에 적용됩니다.

인프라 ACL

일반적으로 라우팅 장비의 독점 주소에 대한 액세스는 통신업체 자체 네트워크의 호스트에만 필요하지만 예외도 있습니다(예: eBGP, GRE, IPv4 터널을 통한 IPv6 및 ICMP). 인프라 ACL:

• 일반적으로 통신 사업자 네트워크의 가장자리("네트워크 입구")에 설치됩니다.
• 외부 호스트가 운영자의 인프라 주소에 액세스하는 것을 방지하는 목표를 가지고 있습니다.
• 운영자 네트워크 경계를 넘어 방해받지 않는 트래픽 전송을 보장합니다.
• RFC 1918, RFC 3330에 설명된 승인되지 않은 네트워크 활동에 대한 기본 보호 메커니즘, 특히 스푸핑(스푸핑, 공격 시작 시 위장하기 위해 가짜 소스 IP 주소를 사용하는 것)에 대한 보호를 제공합니다.

이웃 인증

인접 인증의 주요 목적은 네트워크의 라우팅을 변경하기 위해 스푸핑된 라우팅 프로토콜 메시지를 보내는 공격을 방지하는 것입니다. 이러한 공격은 네트워크 무단 침입, 네트워크 리소스의 무단 사용, 공격자가 필요한 정보를 분석하고 얻기 위해 트래픽을 가로채는 결과를 초래할 수 있습니다.

BGP 설정

• BGP 접두사 필터 - 경로 정보를 확인하는 데 사용됩니다. 내부 네트워크통신 사업자는 인터넷에 배포되지 않았습니다(때때로 이 정보는 공격자에게 매우 유용할 수 있음).
• 다른 라우터에서 수신할 수 있는 접두사 수 제한(접두사 제한) - 피어링 파트너 네트워크의 DDoS 공격, 이상 및 오류로부터 보호하는 데 사용됩니다.
• BGP 커뮤니티 매개변수를 사용하고 이에 따른 필터링을 사용하여 라우팅 정보 배포를 제한할 수도 있습니다.
• BGP 모니터링 및 관찰된 트래픽과 BGP 데이터를 비교하는 것은 DDoS 공격 및 이상 현상을 조기에 감지하는 메커니즘 중 하나입니다.
• TTL(Time-to-Live) 매개변수로 필터링 - BGP 파트너를 확인하는 데 사용됩니다.

BGP 공격이 피어링 파트너의 네트워크가 아닌 더 먼 네트워크에서 시작되는 경우 BGP 패킷의 TTL 매개변수는 255 미만이 됩니다. TTL이 포함된 모든 BGP 패킷을 삭제하도록 이동통신사의 경계 라우터를 구성할 수 있습니다. 값< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

네트워크의 데이터 플레인 보호(Data Plane)

관리 및 관리 수준 보호의 중요성에도 불구하고 통신 사업자 네트워크의 트래픽 대부분은 데이터, 전송 또는 해당 사업자의 가입자를 위한 것입니다.

uRPF(유니캐스트 역방향 경로 전달)

스푸핑 기술을 사용하여 공격이 시작되는 경우가 많습니다. 즉, 공격 소스를 추적할 수 없도록 소스 IP 주소가 위조됩니다. 스푸핑된 IP 주소는 다음과 같습니다.

• 실제로 사용된 주소 공간에서 가져온 것이지만 다른 네트워크 세그먼트에 있습니다(공격이 시작된 세그먼트에서는 이러한 가짜 주소가 라우팅되지 않습니다).
• 주어진 데이터 전송 네트워크에서 사용되지 않는 주소 공간으로부터;
• 인터넷에서 라우팅할 수 없는 주소 공간에서.

라우터에 uRPF 메커니즘을 구현하면 패킷이 라우터 인터페이스에 도착한 네트워크 세그먼트에서 호환되지 않거나 사용되지 않는 소스 주소를 가진 패킷의 라우팅을 방지할 수 있습니다. 이 기술을 사용하면 소스에 가장 가까운 원치 않는 트래픽을 가장 효과적으로 필터링할 수 있습니다. 많은 DDoS 공격(유명한 Smurf 및 Tribal Flood Network 포함)은 표준 보안 및 트래픽 필터링 조치를 속이기 위해 스푸핑 메커니즘을 사용하고 지속적으로 소스 주소를 변경합니다.

가입자에게 인터넷 액세스를 제공하는 통신 사업자가 uRPF 메커니즘을 사용하면 가입자가 인터넷 리소스에 대해 지시하는 스푸핑 기술을 사용하는 DDoS 공격을 효과적으로 방지할 수 있습니다. 따라서 DDoS 공격은 소스에 가장 가까운, 즉 가장 효과적으로 억제됩니다.

원격 트리거 블랙홀(RTBH)

원격으로 트리거되는 블랙홀은 라우팅을 통해 네트워크로 들어오는 트래픽을 "덤프"(파괴, "아무데도" 보내지 않음)하는 데 사용됩니다. 이 트래픽의특수 Null 0 인터페이스에. 이 기술 DDoS 공격이 포함된 트래픽이 네트워크에 진입할 때 이를 삭제하려면 네트워크 에지에서 이를 사용하는 것이 좋습니다. 이 방법의 한계(중요한 점)는 공격 대상인 특정 호스트를 향한 모든 트래픽에 적용된다는 것입니다. 따라서, 이 방법하나 이상의 호스트가 대규모 공격을 받아 공격받은 호스트뿐만 아니라 다른 가입자와 통신 사업자 네트워크 전체에 문제를 일으키는 경우에 사용할 수 있습니다.

블랙홀은 수동으로 또는 BGP 프로토콜을 통해 관리할 수 있습니다.

BGP(QPPB)를 통한 QoS 정책 전파

BGP(QPPB)를 통한 QoS 제어를 사용하면 특정 자율 시스템이나 IP 주소 블록으로 향하는 트래픽에 대한 우선 순위 정책을 관리할 수 있습니다. 이 메커니즘은 원치 않는 트래픽이나 DDoS 공격이 포함된 트래픽에 대한 우선순위 수준을 관리하는 등 통신 사업자와 대기업에 매우 유용할 수 있습니다.

싱크홀

어떤 경우에는 블랙홀을 사용하여 트래픽을 완전히 제거할 필요가 없지만 후속 모니터링 및 분석을 위해 트래픽을 기본 채널이나 리소스에서 다른 곳으로 전환해야 합니다. 이것이 바로 "전환 채널" 또는 싱크 홀이 설계된 이유입니다.

싱크홀은 다음과 같은 경우에 가장 자주 사용됩니다.

• 통신 사업자 네트워크의 주소 공간에 속하지만 실제로 사용되지 않는(장비나 사용자에게 할당되지 않은) 대상 주소로 트래픽을 전환하고 분석합니다. 이러한 트래픽은 사전에 의심스럽습니다. 왜냐하면 이는 종종 공격자가 네트워크를 스캔하거나 침투하려는 시도를 나타내기 때문입니다. 자세한 정보그 구조에 대해;
• 통신사업자 네트워크에서 실제로 작동하는 자원인 공격 대상의 트래픽을 리디렉션하여 모니터링 및 분석합니다.

특수 도구를 사용한 DDoS 방어

Cisco Clean Pipes 개념은 업계 개척자입니다.

DDoS 공격에 대한 최신 보호 개념은 Cisco Systems에서 개발했습니다(네, 네, 놀라지 않으실 겁니다! :)). Cisco에서 개발한 개념을 Cisco Clean Pipes라고 합니다. 거의 10년 전에 자세히 개발된 이 개념은 교통 이상 현상으로부터 보호하는 기본 원리와 기술을 어느 정도 자세히 설명하며, 대부분은 다른 제조업체를 포함하여 오늘날에도 여전히 사용되고 있습니다.

Cisco Clean Pipes 개념에는 DDoS 공격을 탐지하고 완화하기 위한 다음 원칙이 포함됩니다.

포인트(네트워크 구간)를 선택하고 트래픽을 분석하여 이상 징후를 식별합니다. 우리가 보호하는 대상에 따라 이러한 포인트는 통신 사업자와 상위 사업자의 피어링 연결, 하위 사업자 또는 가입자의 연결 포인트, 데이터 처리 센터를 네트워크에 연결하는 채널일 수 있습니다.

특수 탐지기는 이들 지점의 트래픽을 분석해 정상 상태의 트래픽 프로파일을 구축(연구)하고, DDoS 공격이나 이상 징후가 나타나면 이를 탐지하고 연구해 그 특성을 동적으로 형성한다. 또한 시스템 운영자가 정보를 분석하여 반자동 또는 자동 모드공격 억제 프로세스가 시작됩니다. 억제는 "피해자"로 향하는 트래픽이 필터링 장치를 통해 동적으로 리디렉션되는 방식입니다. 여기서 탐지기에 의해 생성된 필터는 이 트래픽에 적용되고 이 공격의 개별 특성을 반영합니다. 삭제된 트래픽은 네트워크로 유입되어 수신자에게 전송됩니다(이것이 Clean Pipes라는 이름이 발생한 이유입니다. 가입자는 공격이 포함되지 않은 "클린 채널"을 수신합니다).

따라서 DDoS 공격에 대한 전체 보호 주기에는 다음과 같은 주요 단계가 포함됩니다.

• 교육 제어 특성트래픽(프로파일링, 기준 학습)
• 공격 및 이상 징후 탐지(Detection)
• 트래픽을 청소 장치를 통과하도록 리디렉션(전환)
• 공격을 억제하기 위한 트래픽 필터링(완화)
• 트래픽을 다시 네트워크에 주입하고 이를 수신자에게 보냅니다(삽입).

여러 가지 기능.
두 가지 유형의 장치를 감지기로 사용할 수 있습니다.

• Cisco Systems에서 제조한 탐지기는 Cisco 6500/7600 섀시에 설치하도록 설계된 Cisco Traffic Anomaly Detector Services Module입니다.
• Arbor Networks에서 제조한 감지기는 Arbor Peakflow SP CP 장치입니다.

아래는 Cisco와 Arbor 감지기를 비교한 표입니다.

매개변수	Cisco 트래픽 이상 탐지기	아버 피크플로우 SP CP
분석을 위한 교통정보 획득	Cisco 6500/7600 섀시에 할당된 트래픽의 복사본을 사용합니다.	라우터로부터 수신된 Netflow 트래픽 데이터를 사용하며, 샘플링 조정 가능(1:1, 1:1,000, 1:10,000 등)
사용된 식별 원리	시그니처 분석(오용 탐지) 및 이상 탐지(동적프로파일링)	주로 이상 탐지; 시그니처 분석이 사용되지만 시그니처는 일반적인 성격을 가집니다.
폼 팩터	Cisco 6500/7600 섀시의 서비스 모듈	별도의 장치(서버)
성능	최대 2Gbit/s의 트래픽이 분석됩니다.	사실상 무제한(샘플링 주파수를 줄일 수 있음)
확장성	최대 4개 모듈 설치시스코탐지기SM하나의 섀시에 포함(단, 모듈은 서로 독립적으로 작동함)	내에서 여러 장치를 사용할 수 있는 능력 통합 시스템분석 중 하나에는 리더 상태가 할당됩니다.
네트워크 트래픽 및 라우팅 모니터링	사실상 기능이 없습니다	기능이 많이 발전했습니다. 많은 통신 사업자는 네트워크 트래픽 모니터링 및 라우팅을 위한 심층적이고 정교한 기능 때문에 Arbor Peakflow SP를 구입합니다.
포털 제공(가입자와 직접 관련된 네트워크 부분만 모니터링할 수 있는 가입자를 위한 개별 인터페이스)	제공되지 않음	제공됩니다. 심각한 장점인가 이 결정, 통신 사업자는 가입자에게 개별 DDoS 보호 서비스를 판매할 수 있기 때문입니다.
호환되는 트래픽 정리 장치(공격 억제)	시스코경비 서비스 모듈	아버 피크플로우 SP TMS; Cisco Guard 서비스 모듈.
	인터넷에 연결된 경우 데이터 센터 보호 통신 사업자 네트워크에 대한 가입자 네트워크의 다운스트림 연결 모니터링	다음에 대한 공격 탐지상류- 통신 사업자의 네트워크를 상위 제공업체의 네트워크에 연결 통신 사업자 백본 모니터링

표의 마지막 행에는 Cisco Systems에서 권장하는 Cisco 및 Arbor의 감지기를 사용하는 시나리오가 나와 있습니다. 이러한 시나리오는 아래 다이어그램에 설명되어 있습니다.

트래픽 정리 장치로서 Cisco에서는 Cisco 6500/7600 섀시에 설치된 Cisco Guard 서비스 모듈을 사용할 것을 권장합니다. 이 모듈은 Cisco Detector 또는 Arbor Peakflow SP CP에서 명령을 수신하면 트래픽이 동적으로 리디렉션되고 정리되고 다시 주입됩니다. 네트워크. 리디렉션 메커니즘은 업스트림 라우터에 대한 BGP 업데이트이거나 독점 프로토콜을 사용하여 감독자에게 직접 제어 명령을 보내는 것입니다. BGP 업데이트를 사용할 때 업스트림 라우터에는 공격이 포함된 트래픽에 대한 새로운 넥스 홉 값이 제공되므로 이 트래픽은 클리닝 서버로 이동됩니다. 동시에 이 정보가 루프 구성으로 이어지지 않도록 주의해야 합니다(따라서 다운스트림 라우터는 삭제된 트래픽을 입력할 때 이 트래픽을 삭제 장치로 다시 래핑하려고 시도하지 않습니다). . 이를 위해 커뮤니티 매개변수를 사용하여 BGP 업데이트 배포를 제어하거나 삭제된 트래픽에 들어갈 때 GRE 터널을 사용하는 메커니즘을 사용할 수 있습니다.

이러한 상황은 Arbor Networks가 Peakflow SP 제품 라인을 크게 확장하고 DDoS 공격으로부터 보호하기 위한 완전히 독립적인 솔루션으로 시장에 진입하기 시작할 때까지 존재했습니다.

Arbor Peakflow SP TMS 도입

몇 년 전 Arbor Networks는 Cisco의 이 분야 개발 속도와 정책에 관계없이 DDoS 공격으로부터 보호하기 위한 제품 라인을 독립적으로 개발하기로 결정했습니다. Peakflow SP CP 솔루션은 샘플링 빈도를 조절하는 기능으로 흐름 정보를 분석했기 때문에 Cisco Detector에 비해 근본적인 이점이 있었습니다. 따라서 통신 사업자 네트워크 및 트렁크 채널에서의 사용에 제한이 없었습니다. 교통 ). 또한 Peakflow SP의 주요 장점은 사업자가 가입자에게 네트워크 세그먼트를 모니터링하고 보호하기 위한 개별 서비스를 판매할 수 있다는 것입니다.

이러한 고려 사항과 기타 고려 사항으로 인해 Arbor는 Peakflow SP 제품 라인을 크게 확장했습니다. 다수의 새로운 장치가 등장했습니다:

Peakflow SP TMS(위협 관리 시스템)- 인터넷에서 DDoS 공격을 모니터링하고 분석하는 Arbor Networks 소유 ASERT 연구소와 Peakflow SP CP에서 얻은 데이터를 기반으로 하는 다단계 필터링을 통해 DDoS 공격을 억제합니다.

Peakflow SP BI(비즈니스 인텔리전스)- 시스템 확장을 제공하고 모니터링할 논리적 개체 수를 늘리며 수집 및 분석된 데이터에 대한 중복성을 제공하는 장치

Peakflow SP PI(포털 인터페이스)- 자체 보안 관리를 위한 개별 인터페이스를 제공하는 가입자 증가를 제공하는 장치

Peakflow SP FS(유량 센서)- 가입자 라우터 모니터링, 다운스트림 네트워크 및 데이터 센터 연결을 제공하는 장치.

Arbor Peakflow SP 시스템의 작동 원리는 본질적으로 Cisco Clean Pipes와 동일하지만 Arbor는 정기적으로 시스템을 개발하고 개선하므로 이 순간 Arbor 제품의 기능은 성능을 포함하여 여러 측면에서 Cisco보다 우수합니다.

현재 Cisco Guard의 최대 성능은 하나의 Cisco 6500/7600 섀시에 4개의 Guard 모듈 클러스터를 생성하여 달성할 수 있지만 이러한 장치의 전체 클러스터링은 구현되지 않습니다. 동시에 최고의 Arbor Peakflow SP TMS 모델은 최대 10Gbps의 성능을 제공하며 클러스터링이 가능합니다.

Arbor가 DDoS 공격 탐지 및 억제 시장에서 독립적인 플레이어로 자리매김하기 시작한 후 Cisco는 네트워크 트래픽 흐름 데이터에 대해 꼭 필요한 모니터링을 제공할 파트너를 찾기 시작했습니다. 경쟁자. 그러한 회사가 플로우 데이터 기반의 트래픽 모니터링 시스템(NarusInsight)을 생산하고 Cisco Systems와 파트너십을 맺은 Narus였습니다. 그러나 이 파트너십은 시장에서 심각한 발전과 존재감을 얻지 못했습니다. 또한 일부 보고서에 따르면 Cisco는 Cisco Detector 및 Cisco Guard 솔루션에 투자할 계획이 없으며 실제로 이 틈새 시장을 Arbor Networks에 맡길 계획입니다.

Cisco 및 Arbor 솔루션의 일부 기능

Cisco 및 Arbor 솔루션의 일부 기능은 주목할 가치가 있습니다.

1. Cisco Guard는 탐지기와 함께 또는 독립적으로 사용할 수 있습니다. 후자의 경우 인라인 모드로 설치되어 탐지기 기능을 수행하고 트래픽을 분석하며 필요한 경우 필터를 켜고 트래픽을 지웁니다. 이 모드의 단점은 첫째로 잠재적인 실패 지점이 추가되고 둘째로 추가 트래픽 지연이 발생한다는 것입니다(필터링 메커니즘이 켜질 때까지는 적지만). Cisco Guard에 권장되는 모드는 공격이 포함된 트래픽을 리디렉션하고 필터링한 후 다시 네트워크에 입력하는 명령을 기다리는 것입니다.
2. Arbor Peakflow SP TMS 장치는 오프램프 또는 인라인 모드에서도 작동할 수 있습니다. 첫 번째 경우, 장치는 공격을 제거하고 네트워크에 다시 입력하기 위해 공격이 포함된 트래픽을 리디렉션하는 명령을 수동적으로 기다립니다. 두 번째로 모든 트래픽을 자체적으로 통과시키고 이를 기반으로 Arborflow 형식으로 데이터를 생성한 후 Peakflow SP CP로 전송하여 공격 분석 및 탐지를 수행합니다. Arborflow는 Netflow와 유사하지만 Arbor에서 Peakflow SP 시스템용으로 수정한 형식입니다. 트래픽 모니터링 및 공격 탐지는 TMS에서 수신한 Arborflow 데이터를 기반으로 Peakflow SP CP에서 수행됩니다. 공격이 감지되면 Peakflow SP CP 운영자는 이를 억제하라는 명령을 내린 후 TMS가 필터를 켜고 공격으로부터 트래픽을 지웁니다. Cisco와 달리 Peakflow SP TMS 서버는 독립적으로 작동할 수 없으며 작동하려면 트래픽을 분석하는 Peakflow SP CP 서버가 필요합니다.
3. 오늘날 대부분의 전문가들은 네트워크의 로컬 섹션을 보호하는 작업(예: 데이터 센터 연결 또는 다운스트림 네트워크 연결)이 효과적이라는 데 동의합니다.

DDOS 공격. 설명 및 예.

안녕하세요 여러분. 이것은 Computer76 블로그이며 이제 해킹 기술의 기본에 대한 또 다른 기사입니다. 오늘은 DDOS 공격이 무엇인지에 대해 이야기하겠습니다. 간단한 말로그리고 예. 기술적인 용어를 설명하기 전에 누구나 이해할 수 있는 소개를 먼저 하겠습니다.

DDOS 공격이 사용되는 이유는 무엇입니까?

비밀번호를 알아내기 위해 WiFi 해킹이 사용됩니다 무선 네트워크. “ ” 형태의 공격을 통해 인터넷 트래픽을 청취할 수 있습니다. 취약점을 분석한 후 특정 취약점을 로딩하면 대상 컴퓨터를 포착할 수 있습니다. DDOS 공격은 무엇을 합니까? 그 목표는 궁극적으로 정당한 소유자로부터 자원을 소유할 권리를 선택하는 것입니다. 나는 당신이 사이트나 블로그를 소유하지 않을 것이라는 의미는 아닙니다. 이는 귀하의 사이트에 대한 공격이 성공할 경우 귀하가 당신은 그것을 통제하는 능력을 잃게 될 것입니다. 에 의해 적어도, 잠시 동안.

그러나 DDOS 공격에 대한 현대적인 해석에서는 서비스의 정상적인 작동을 방해하는 데 가장 자주 사용됩니다. 이름이 끊임없이 들리는 해커 그룹은 특정 문제에 대한 관심을 끌기 위해 대규모 정부 또는 정부 웹 사이트를 공격합니다. 그러나 거의 항상 그러한 공격 뒤에는 순전히 상업적인 이익이 있습니다. 즉, 완전히 외설적으로 보호되지 않은 사이트에 대한 경쟁자의 작업이나 단순한 장난입니다. DDOS의 주요 개념은 엄청난 수의 사용자, 아니 오히려 봇 컴퓨터의 요청이 동시에 사이트에 액세스하여 서버의 부하를 견딜 수 없게 만든다는 것입니다. "사이트를 사용할 수 없습니다"라는 말을 자주 듣습니다. 그러나 이 말 뒤에 실제로 무엇이 숨겨져 있는지 생각하는 사람은 거의 없습니다. 글쎄, 이제 알겠구나.

DDOS 공격 - 옵션

옵션 1.

입구에 붐비는 선수들

멀티플레이어 게임을 하고 있다고 상상해 보세요. 온라인 게임. 수천 명의 플레이어가 당신과 함께 플레이하고 있습니다. 그리고 당신은 그들 대부분에 대해 잘 알고 있습니다. 세부 사항을 논의하고 X 시간에 다음 작업을 수행합니다. 모두 동시에 사이트에 가서 동일한 특성을 가진 캐릭터를 만듭니다. 한 장소에 그룹화하여 동시에 생성된 여러 캐릭터를 사용하여 공모에 대해 아무것도 의심하지 않는 다른 선의의 사용자가 게임의 개체에 액세스하는 것을 차단합니다.

옵션 2.

누군가가 선의의 승객이 대중 교통 서비스를 이용하지 못하도록 특정 경로를 따라 도시의 버스 서비스를 중단하기로 결정했다고 상상해 보십시오. 수천 명의 친구들이 지정된 경로의 시작 부분에 동시에 정차하고 돈이 다 ​​떨어질 때까지 모든 차량을 끝에서 끝까지 목적 없이 타고 있습니다. 여행 비용은 지불되지만 최종 목적지를 제외하고는 어느 정류장에서도 내리는 사람이 없습니다. 그리고 중간 정류장에 서있는 다른 승객들은 슬프게도 붐비는 버스에 타지 못해 출발하는 미니 버스를 돌보고 있습니다. 택시 소유자와 잠재적 승객 모두 모두가 곤경에 처해 있습니다.

실제로 이러한 옵션은 물리적으로 구현할 수 없습니다. 그러나 가상 세계에서는 자신의 컴퓨터나 노트북을 어떻게든 보호하려고 하지 않는 부도덕한 사용자의 컴퓨터가 친구를 대신할 수 있습니다. 그리고 대다수가 그렇습니다. DDOS 공격을 수행하는 프로그램은 다양합니다. 말할 필요도 없이 그러한 행위는 불법입니다. 그리고 터무니없이 준비된 DDOS 공격은 아무리 성공적으로 수행되더라도 적발되어 처벌됩니다.

DDOS 공격은 어떻게 이루어지나요?

웹사이트 링크를 클릭하면 브라우저가 서버에 원하는 페이지를 표시하라는 요청을 보냅니다. 이 요청은 데이터 패킷으로 표현됩니다. 그리고 단지 하나가 아니라 전체 패키지 패키지입니다! 어떤 경우에도 채널당 전송되는 데이터의 양은 항상 특정 폭으로 제한됩니다. 그리고 서버에서 반환되는 데이터의 양은 요청에 포함된 데이터의 양보다 훨씬 더 많습니다. 이를 위해서는 서버에서 에너지와 리소스가 필요합니다. 서버가 강력할수록 소유자에게 더 많은 비용이 들고 서버가 제공하는 서비스도 더 비쌉니다. 최신 서버급격히 증가하는 방문객 유입에 쉽게 대처할 수 있습니다. 그러나 모든 서버에는 여전히 사이트의 콘텐츠에 익숙해지기를 원하는 중요한 수의 사용자가 있습니다. 웹사이트 호스팅 서비스를 제공하는 서버의 상황은 더욱 명확해집니다. 이러한 일이 발생하자마자 동일한 호스팅에 있는 수천 개의 다른 사이트를 서비스하는 프로세서에 과부하가 걸리지 않도록 피해자 사이트의 서비스 연결이 끊어집니다. DDOS 공격 자체가 멈출 때까지 해당 사이트의 운영은 중단됩니다. 글쎄, 웹 사이트 페이지 중 하나를 초당 천 번(DOS) 다시 로드하기 시작한다고 상상해 보십시오. 그리고 수천 명의 친구들이 자신의 컴퓨터(분산 DOS 또는 DDOS)에서 동일한 작업을 수행하고 있습니다. 대규모 서버는 DDOS 공격이 시작되었음을 인식하고 이에 대응하는 방법을 배웠습니다. 그러나 해커들은 접근 방식도 개선하고 있습니다. 따라서 이 기사의 틀 내에서는 DDOS 공격이 무엇인지 더 자세히 설명할 수 없습니다.

DDOS 공격이 무엇인지 알아보고 지금 바로 시도해 볼 수 있습니다.

주목.시도하기로 결정하면 저장하지 않은 모든 데이터가 손실되며 컴퓨터를 작동 상태로 되돌리려면 버튼이 필요합니다 초기화. 그러나 공격받은 서버가 "느끼는" 것이 무엇인지 정확히 알아낼 수 있습니다. 자세한 예는 아래 단락이며 이제 시스템을 재부팅하는 간단한 명령입니다.

• Linux의 경우 터미널에 다음 명령을 입력합니다.

:(){ :|:& };:

시스템이 작동을 거부합니다.

• Windows의 경우 메모장에서 다음 코드를 사용하여 bat 파일을 만드는 것이 좋습니다.

:1 1로 이동 시작

유형 이름을 DDOS.bat로 지정하십시오.

두 명령의 의미를 모두 설명하는 것은 가치가 없다고 생각합니다. 모든 것이 육안으로 보입니다. 두 명령 모두 시스템이 스크립트를 실행하고 즉시 반복하여 스크립트 시작 부분으로 보내도록 합니다. 실행 속도를 고려하면 몇 초 후에 시스템이 무감각해집니다. 게임, 그들이 말했듯이, ~ 위에.

프로그램을 이용한 DDOS 공격.

보다 시각적인 예를 보려면 Low Orbit Ion Cannon 프로그램을 사용하십시오. 또는 로익. 가장 많이 다운로드된 배포판은 다음 위치에 있습니다(우리는 Windows에서 작업합니다).

https://sourceforge.net/projects/loic/

주목 ! 바이러스 백신은 파일을 악성으로 응답해야 합니다. 이는 정상적인 현상입니다. 귀하는 이미 다운로드 중인 내용을 알고 있습니다. 서명 데이터베이스에는 홍수 생성기로 표시되어 있습니다. 이는 러시아어로 번역되며, 이는 특정 네트워크 주소에 대한 끝없는 호출의 궁극적인 목표입니다. 저는 개인적으로 바이러스나 트로이 목마를 발견하지 못했습니다. 그러나 귀하는 다운로드를 의심하고 연기할 권리가 있습니다.

부주의한 사용자가 리소스에 대한 메시지를 퍼붓기 때문에 악성 파일, Source Forge는 파일에 대한 직접 링크가 있는 다음 페이지로 이동합니다.

결국 .

프로그램 창은 다음과 같습니다.

포인트 1 대상 선택을 통해 공격자는 특정 대상에 집중할 수 있습니다(IP 주소 또는 사이트 URL 입력), 포인트 3 공격 옵션공격받은 포트, 프로토콜( 방법) 세 가지 TCP, UDP 및 HTTP 중 하나입니다. TCP/UDP 메시지 필드에는 공격을 받은 사람에게 보낼 메시지를 입력할 수 있습니다. 이 작업이 완료되면 버튼을 누르면 공격이 시작됩니다. 임마 차진 마 레이저(이것은 한때 인기가 있었던 파울 직전의 문구입니다. 만화–나 나; 그건 그렇고, 프로그램에는 미국의 욕설이 많이 있습니다.) 모두.

나는 경고한다

이는 localhost 전용 평가판 옵션입니다. 그 이유는 다음과 같습니다.

• 이는 다른 사람의 사이트에 대한 법에 위배되며 서구의 사람들은 이미 이 문제로 투옥되었습니다(이는 곧 여기에서도 투옥될 것임을 의미합니다).
• 홍수가 발생하는 주소는 신속하게 결정되고 서비스 제공자에게 불만을 제기할 것이며 서비스 제공자는 귀하에게 경고를 보내고 첫 번째 사항을 상기시켜 줄 것입니다.
• 대역폭이 낮은 네트워크(즉, 모든 홈 네트워크)에서는 기즈모가 작동하지 않습니다. TOR 네트워크도 마찬가지입니다.
• 올바르게 구성하면 다른 사람에게 해를 끼치는 것보다 더 빨리 통신 채널을 막을 수 있습니다. 따라서 이것은 샌드백이 복서에게 맞을 때 적용되는 옵션이며 그 반대의 경우는 아닙니다. 그리고 프록시 옵션은 동일한 원칙을 따릅니다. 누구도 귀하의 홍수를 좋아하지 않을 것입니다.

읽다: 9,326

오늘날 뉴스 헤드라인은 DDoS(분산 서비스 거부) 공격에 대한 보고로 가득 차 있습니다. 인터넷에 존재하는 모든 조직은 분산 서비스 거부 공격에 취약합니다. 문제는 공격을 받을지 여부가 아니라 언제 일어날지입니다. 정부 기관, 미디어 및 전자 상거래 사이트, 기업 사이트, 상업 및 비영리 조직은 모두 DDoS 공격의 잠재적인 대상입니다.

누가 공격을 받고 있나요?

중앙은행에 따르면 2016년 러시아 금융 기관에 대한 DDoS 공격 건수는 거의 두 배로 늘어났습니다. 지난 11월, DDoS 공격은 러시아의 5개 대형 은행을 겨냥했습니다. 지난해 말 중앙은행은 중앙은행을 포함한 금융기관을 대상으로 한 DDoS 공격을 보고했다. “공격의 목적은 서비스를 방해하고 결과적으로 이러한 조직에 대한 신뢰를 약화시키는 것이었습니다. 이러한 공격은 러시아에서 처음으로 사물 인터넷을 대규모로 사용한 공격이었기 때문에 주목할 만했습니다. 공격에는 주로 인터넷 비디오 카메라와 가정용 라우터가 포함되었습니다.”라고 대형 은행의 보안 서비스는 밝혔습니다.

동시에 DDoS 공격은 은행에 심각한 피해를 입히지 않았습니다. 잘 보호되어 있으므로 이러한 공격은 문제를 일으켰지만 심각하지 않았으며 단일 서비스를 중단하지 않았습니다. 하지만 해커들의 반은행 활동이 크게 늘었다고 할 수 있다.

2017년 2월, 러시아 보건부의 기술 서비스는 최대 규모를 반영했습니다. 지난 몇 년 DDoS 공격은 최고조에 달했을 때 분당 요청 400만 건에 달했습니다. 정부 레지스트리에 대한 DDoS 공격도 있었지만 성공하지 못했고 데이터가 변경되지 않았습니다.

그러나 이처럼 강력한 '방어력'을 갖추지 못한 수많은 조직과 기업이 DDoS 공격의 피해자가 되고 있습니다. 2017년에는 랜섬웨어, DDoS, 사물인터넷(IoT) 기기 공격 등 사이버 위협으로 인한 피해가 증가할 것으로 예상됩니다.

IoT 장치는 DDoS 공격을 수행하기 위한 도구로 점점 인기를 얻고 있습니다. 중요한 사건은 2016년 9월 Mirai 악성코드를 이용한 DDoS 공격이었습니다. 여기에는 비디오 감시 시스템의 수십만 대의 카메라와 기타 장치가 공격 수단으로 사용되었습니다.

이는 프랑스 호스팅 제공업체 OVH를 상대로 진행되었습니다. 이는 거의 1Tbit/s에 달하는 강력한 DDoS 공격이었습니다. 해커들은 봇넷을 사용하여 주로 CCTV 카메라 등 15만 개의 IoT 장치를 악용했습니다. Mirai 봇넷 공격으로 인해 많은 IoT 장치 봇넷이 발생했습니다. 전문가들에 따르면, 2017년에도 IoT 봇넷은 계속해서 사이버 공간의 주요 위협 중 하나가 될 것입니다.

2016년 Verizon 데이터 유출 사건 보고서(DBIR)에 따르면 지난해 DDoS 공격 건수가 눈에 띄게 증가했습니다. 전 세계적으로 엔터테인먼트 산업, 전문 기관, 교육, IT, 소매 분야가 가장 큰 어려움을 겪고 있습니다.

DDoS 공격에서 주목할만한 추세는 '피해자 목록'의 확대이다. 이제 거의 모든 산업 분야의 대표자가 포함됩니다. 또한, 공격 방식도 개선되고 있습니다.
넥서스가드(Nexusguard)에 따르면 2016년 말에는 여러 취약점을 동시에 이용하는 혼합형 DDoS 공격 건수가 눈에 띄게 늘어났다. 대부분의 경우 금융 및 정부 기관이 이러한 조치를 받았습니다. 사이버 범죄자의 주요 동기(사례의 70%)는 데이터를 훔치거나 몸값을 요구하여 데이터를 파괴하겠다는 위협입니다. 덜 자주 - 정치적 또는 사회적 목표. 방어 전략이 중요한 이유다. 공격에 대비하고 그 결과를 최소화하여 재무 및 평판 위험을 줄일 수 있습니다.

공격의 결과

DDoS 공격의 결과는 무엇입니까? 공격이 진행되는 동안 피해자는 느린 운영이나 사이트의 완전한 사용 불가능으로 인해 고객을 잃고 비즈니스의 평판이 손상됩니다. 서비스 제공자는 다른 클라이언트의 피해를 최소화하기 위해 피해자의 IP 주소를 차단할 수 있습니다. 모든 것을 복원하려면 시간과 돈이 필요할 수 있습니다.

HaltDos 조사에 따르면 DDoS 공격은 절반의 조직에서 가장 심각한 사이버 위협 중 하나로 간주됩니다. DDoS의 위험은 다른 위협은 말할 것도 없고 무단 액세스, 바이러스, 사기, 피싱의 위험보다 훨씬 더 큽니다.

DDoS 공격으로 인한 평균 손실은 전 세계적으로 소규모 조직의 경우 50,000달러, 대기업의 경우 거의 500,000달러로 추산됩니다. DDoS 공격의 결과를 제거하려면 추가 직원 시간, 보안을 보장하기 위한 다른 프로젝트의 리소스 전환, 소프트웨어 업데이트 계획 개발, 장비 현대화 등이 필요합니다.

공격을 받은 조직의 평판은 웹사이트 성능 저하뿐만 아니라 개인 데이터나 금융 정보의 도용으로 인해 훼손될 수 있습니다.

HaltDos의 조사에 따르면 DDoS 공격 건수는 매년 200%씩 증가하고 있으며, 이러한 유형의 공격은 전 세계적으로 매일 2,000건이 보고되고 있습니다. 일주일 동안의 DDoS 공격을 조직하는 데 드는 비용은 약 $150에 불과하며 피해자의 평균 손실은 시간당 $40,000를 초과합니다.

DDoS 공격 유형

DDoS 공격의 주요 유형에는 대규모 공격, 프로토콜 수준 공격, 애플리케이션 수준 공격이 있습니다. 어쨌든 목표는 사이트를 비활성화하거나 데이터를 훔치는 것입니다. 또 다른 유형의 사이버 범죄는 몸값을 얻기 위한 DDoS 공격 위협입니다. Armada Collective, Lizard Squad, RedDoor 및 ezBTC와 같은 해커 그룹이 유명합니다.

DDoS 공격 구성은 눈에 띄게 간편해졌습니다. 이제 사이버 범죄자의 특별한 지식이 거의 필요하지 않은 자동화 도구가 널리 사용 가능해졌습니다. 또한 있다 유료 서비스익명으로 대상을 공격하는 DDoS입니다. 예를 들어, vDOS 서비스는 고객이 "부하 상태에서" 테스트하려는 사이트의 소유자인지, 공격 목적으로 수행되는지 여부를 확인하지 않고 서비스를 제공합니다.

DDoS 공격은 합법적인 사용자가 공격받는 사이트에 액세스하는 것을 방지하는 다중 소스 공격입니다. 이를 위해 공격받은 시스템에 처리할 수 없는 엄청난 수의 요청이 전송됩니다. 일반적으로 손상된 시스템은 이러한 목적으로 사용됩니다.

DDoS 공격 건수의 연간 증가율은 50%로 추정됩니다(www.leaseweb.com에 따르면). 다양한 소스다르지만 모든 사건이 알려진 것은 아닙니다. 레이어 3/4 DDoS 공격의 평균 위력은 최근 몇 년 동안 20GB/s에서 수백 GB/s로 증가했습니다. 대규모 DDoS 및 프로토콜 수준 공격은 그 자체로도 충분히 나쁘지만, 사이버 범죄자들은 ​​이를 레이어 7 DDoS 공격, 즉 데이터 변경 또는 도용을 목표로 하는 애플리케이션 수준 공격과 점점 더 결합하고 있습니다. 이러한 "다중 벡터" 공격은 매우 효과적일 수 있습니다.

다중 벡터 공격은 전체 DDoS 공격 수의 약 27%를 차지합니다.

대규모 DDoS 공격(볼륨 기반)의 경우 합법적인 IP 주소에서 전송되는 수많은 요청이 사용되므로 사이트의 트래픽이 "막히게" 됩니다. 이러한 공격의 목표는 사용 가능한 모든 대역폭을 "막고" 합법적인 트래픽을 차단하는 것입니다.

프로토콜 수준 공격(예: UDP 또는 ICMP)의 경우 목표는 시스템 리소스를 고갈시키는 것입니다. 이를 위해 공개 요청(예: 가짜 IP를 사용한 TCP/IP 요청)이 전송되며, 네트워크 리소스가 고갈되어 합법적인 요청을 처리할 수 없게 됩니다. 대표적인 예로는 Smurf DDos, Ping of Death 및 SYN 플러드 등 좁은 범위로 알려진 DDoS 공격이 있습니다. 또 다른 유형의 프로토콜 수준 DDoS 공격에는 시스템이 처리할 수 없는 대량의 조각난 패킷을 보내는 것이 포함됩니다.

계층 7 DDoS 공격에는 정상적인 사용자 작업의 결과로 보이는 무해해 보이는 요청을 보내는 것이 포함됩니다. 일반적으로 이러한 작업은 봇넷과 자동화 도구를 사용하여 수행됩니다. 잘 알려진 예로는 Slowloris, Apache Killer, Cross-site scripting, SQL 주입, 원격 파일 주입 등이 있습니다.

2012~2014년 대규모 DDoS 공격의 대부분은 상태 비저장 공격(상태를 기억하지 않거나 세션을 추적하지 않음)으로 UDP 프로토콜을 사용했습니다. Stateless의 경우 한 세션(예: 페이지 열기)에 많은 패킷이 순환합니다. 상태 비저장 장치는 일반적으로 누가 세션을 시작했는지(페이지를 요청했는지) 알 수 없습니다.

UDP 프로토콜은 스푸핑(주소 교체)에 취약합니다. 예를 들어, DNS 증폭 공격을 사용하여 56.26.56.26의 DNS 서버를 공격하려는 경우 소스 주소가 56.26.56.26인 패킷 세트를 생성하여 전 세계의 DNS 서버로 보낼 수 있습니다. 이 서버는 56.26.56.26으로 응답을 보냅니다.

NTP 서버, SSDP 지원 장치에도 동일한 방법이 적용됩니다. NTP 프로토콜은 아마도 가장 널리 사용되는 방법일 것입니다. 2016년 하반기에는 DDoS 공격의 97.5%에 NTP 프로토콜이 사용되었습니다.
BCP(Best Current Practice) 규칙 38에서는 ISP가 스푸핑을 방지하기 위해 게이트웨이를 구성하도록 권장합니다. 즉, 발신자 주소와 원래 네트워크가 제어됩니다. 그러나 모든 국가가 이 관행을 따르는 것은 아닙니다. 또한 공격자는 TCP 수준에서 상태 저장 공격을 사용하여 BCP 38 제어를 우회합니다. F5 보안 운영 센터(SOC)에 따르면 이러한 공격은 지난 5년 동안 지배적이었습니다. 2016년에는 UDP 공격보다 TCP 공격이 두 배나 많았습니다.

레이어 7 공격은 주로 전문 해커가 사용합니다. 원칙은 다음과 같습니다. "무거운" URL이 사용됩니다( PDF 파일또는 대규모 데이터베이스에 대한 쿼리) 초당 수십 또는 수백 번 반복됩니다. 계층 7 공격은 심각한 결과를 초래하며 탐지하기 어렵습니다. 현재 DDoS 공격의 약 10%를 차지합니다.

비율 다른 유형 Verizon Data Breach Investigations Report(DBIR)(2016)에 따른 DDoS 공격.

DDoS 공격은 온라인 판매일과 같이 트래픽이 가장 많은 기간에 맞춰 발생하는 경우가 많습니다. 현재 대규모의 개인 및 금융 데이터 흐름이 해커의 관심을 끌고 있습니다.

DNS에 대한 DDoS 공격

DNS(Domain Name System)는 웹사이트의 성능과 가용성에 있어 기본적인 역할을 합니다. 궁극적으로 귀하의 비즈니스 성공에 도움이 됩니다. 불행하게도 DNS 인프라는 종종 DDoS 공격의 대상이 됩니다. 공격자는 DNS 인프라를 억제함으로써 웹사이트와 회사의 평판을 훼손하고 재무 성과에 영향을 미칠 수 있습니다. 오늘날의 위협에 대처하려면 DNS 인프라는 탄력성과 확장성이 뛰어나야 합니다.

본질적으로 DNS는 분산 기반읽기 쉬운 사이트 이름과 IP 주소를 일치시켜 사용자가 URL을 입력하면 원하는 사이트로 이동할 수 있도록 하는 데이터입니다. 사용자와 웹 사이트의 첫 번째 상호 작용은 웹 사이트의 인터넷 도메인 주소를 사용하여 DNS 서버로 전송된 DNS 쿼리로 시작됩니다. 이러한 처리는 웹페이지 로딩 시간의 최대 50%를 차지할 수 있습니다. 따라서 DNS 성능이 저하되면 사용자가 사이트를 떠나고 비즈니스 손실이 발생할 수 있습니다. DDoS 공격으로 인해 DNS 서버가 응답하지 않으면 누구도 귀하의 사이트에 액세스할 수 없습니다.

DDoS 공격은 탐지하기 어렵습니다. 특히 트래픽이 정상적으로 나타나는 초기에는 더욱 그렇습니다. DNS 인프라에는 다음 사항이 적용될 수 있습니다. 다양한 방식 DDoS 공격. 때때로 이것은 DNS 서버에 대한 직접적인 공격입니다. 다른 경우에는 DNS 시스템을 사용하여 IT 인프라나 서비스의 다른 요소를 공격하는 악용이 사용됩니다.

DNS 반사 공격에서 대상은 대규모로 스푸핑된 DNS 응답에 노출됩니다. 이를 위해 봇넷이 사용되어 수백, 수천 대의 컴퓨터를 감염시킵니다. 이러한 네트워크의 각 봇은 여러 DNS 요청을 생성하지만 소스 IP와 동일한 대상 IP 주소를 사용합니다(스푸핑). DNS 서비스는 이 IP 주소에 응답합니다.

이는 이중 효과를 달성합니다. 대상 시스템은 수천, 수백만 개의 DNS 응답으로 공격을 받고 DNS 서버는 로드를 처리할 수 없어 다운될 수 있습니다. DNS 요청 자체는 일반적으로 50바이트 미만이지만 응답은 10배 더 깁니다. 또한 DNS 메시지에는 꽤 많은 다른 정보가 포함될 수 있습니다.

공격자가 각각 50바이트(총 5MB)의 짧은 DNS 요청 100,000개를 발행했다고 가정해 보겠습니다. 각 응답에 1KB가 포함되어 있으면 총계는 이미 100MB입니다. 따라서 이름은 증폭입니다. DNS 반사 공격과 증폭 공격의 조합은 매우 심각한 결과를 초래할 수 있습니다.

요청은 일반 트래픽처럼 보이고 응답은 대상 시스템으로 전달되는 많은 대용량 메시지입니다.

DDoS 공격으로부터 자신을 보호하는 방법은 무엇입니까?

DDoS 공격으로부터 자신을 보호하는 방법과 취해야 할 조치는 무엇입니까? 우선, "나중을 위해" 미루지 마세요. 네트워크를 구성하고, 서버를 실행하고, 소프트웨어를 배포할 때 몇 가지 조치를 고려해야 합니다. 그리고 후속 변경이 있을 때마다 DDoS 공격에 대한 취약성이 증가되어서는 안 됩니다.

1. 소프트웨어 코드 보안. 소프트웨어를 작성할 때 보안 고려 사항을 고려해야 합니다. '시큐어코딩' 표준을 따르고 철저한 테스트를 권장합니다. 소프트웨어크로스 사이트 스크립팅 및 SQL 삽입과 같은 일반적인 오류 및 취약점을 방지합니다.
2. 소프트웨어 업데이트 계획을 개발합니다. 문제가 발생하면 항상 롤백 옵션이 있어야 합니다.
3. 소프트웨어를 즉시 업데이트하십시오. 업데이트를 다운로드할 수 있었지만 문제가 발생한 경우 항목 2를 참조하십시오.
4. 액세스 제한을 잊지 마세요. 관리자 및/또는 계정은 강력하고 정기적으로 변경되는 비밀번호로 보호되어야 합니다. 접근 권한에 대한 주기적인 감사와 사직한 직원의 계정을 적시에 삭제하는 것도 필요합니다.
5. 관리 인터페이스는 내부 네트워크나 VPN을 통해서만 액세스할 수 있어야 합니다. 퇴사한 직원, 특히 해고된 직원의 경우 VPN 액세스를 즉시 종료하세요.
6. 재해 복구 계획에 DDoS 공격 완화를 포함시키세요. 계획에는 그러한 공격 사실을 탐지하는 방법, 인터넷 또는 호스팅 제공업체와의 통신을 위한 연락처, 각 부서의 "문제 에스컬레이션" 트리가 포함되어야 합니다.
7. 취약점 검사는 인프라와 소프트웨어의 문제를 식별하고 위험을 줄이는 데 도움이 됩니다. 간단한 OWASP 상위 10개 취약점 테스트를 통해 가장 중요한 문제를 확인할 수 있습니다. 침투 테스트도 유용할 것입니다. 약점을 찾는 데 도움이 될 것입니다.
8. DDoS 공격에 대한 하드웨어 보호는 비용이 많이 들 수 있습니다. 귀하의 예산이 이를 허용하지 않는 경우, 좋은 대안– "요청 시" DDoS 보호. 이 서비스는 트래픽 라우팅 구성표를 간단히 변경하여 활성화할 수 있습니다. 긴급 상황, 또는 지속적으로 보호됩니다.
9. CDN 파트너를 사용하세요. 콘텐츠 전달 네트워크를 사용하면 분산 네트워크를 통해 웹사이트 콘텐츠를 전달할 수 있습니다. 트래픽은 여러 서버에 분산되어 지리적으로 멀리 떨어진 사용자를 포함하여 사용자에 액세스할 때 지연이 줄어듭니다. 따라서 CDN의 주요 이점은 속도이지만, 메인 서버와 사용자 사이의 장벽 역할도 합니다.
10. 웹 애플리케이션 방화벽(웹 애플리케이션 방화벽)을 사용하세요. 사이트나 애플리케이션과 브라우저 간의 트래픽을 모니터링하여 요청의 적법성을 확인합니다. 애플리케이션 수준에서 작동하는 WAF는 저장된 패턴을 기반으로 공격을 탐지하고 비정상적인 동작을 탐지할 수 있습니다. 애플리케이션 수준 공격은 전자상거래에서 흔히 발생합니다. CDN과 마찬가지로 클라우드에서 WAF 서비스를 사용할 수 있습니다. 그러나 규칙을 구성하려면 약간의 경험이 필요합니다. 이상적으로는 모든 핵심 애플리케이션을 WAF로 보호해야 합니다.

DNS 보호

DDoS 공격으로부터 DNS 인프라를 보호하는 방법은 무엇입니까? 기존 방화벽과 IPS는 여기서 도움이 되지 않으며 DNS에 대한 복잡한 DDoS 공격에 대해 무력합니다. 실제로 방화벽과 침입 방지 시스템 자체는 DDoS 공격에 취약합니다.

그들은 구조하러 올 수 있습니다 클라우드 서비스교통 정리: 특정 센터로 전송되어 확인된 후 목적지로 다시 리디렉션됩니다. 이러한 서비스는 TCP 트래픽에 유용합니다. 자체 DNS 인프라를 관리하는 사람들은 다음 단계를 수행하여 DDoS 공격의 영향을 완화할 수 있습니다.

1. 의심스러운 활동이 있는지 DNS 서버를 모니터링하는 것은 DNS 인프라를 보호하는 첫 번째 단계입니다. 상용 DNS 솔루션과 BIND와 같은 오픈 소스 제품은 DDoS 공격을 탐지하는 데 사용할 수 있는 실시간 통계를 제공합니다. DDoS 공격을 모니터링하는 것은 리소스 집약적인 작업일 수 있습니다. 정상적인 운영 조건에서 인프라의 기본 프로필을 생성한 다음 인프라가 발전하고 트래픽 패턴이 변경됨에 따라 수시로 업데이트하는 것이 가장 좋습니다.
2. 추가 DNS 서버 리소스는 DNS 인프라에 중복성을 제공하여 소규모 공격에 대처하는 데 도움이 될 수 있습니다. 서버 및 네트워크 리소스는 더 많은 양의 요청을 처리하기에 충분해야 합니다. 물론 중복에는 비용이 듭니다. 정상적인 조건에서는 일반적으로 사용되지 않는 서버 및 네트워크 리소스에 대한 비용을 지불하고 있습니다. 그리고 상당한 전력 "예비"로 인해 이러한 접근 방식은 효과적이지 않을 것입니다.
3. DNS RRL(응답 속도 제한)을 활성화하면 서버가 반복되는 요청에 응답하는 속도를 줄여 서버가 DDoS 반사 공격에 연루될 가능성을 줄입니다. RRL은 많은 DNS 구현에서 지원됩니다.
4. 고가용성 구성을 사용합니다. 고가용성(HA) 서버에 DNS 서비스를 배포하여 DDoS 공격으로부터 보호할 수 있습니다. 공격으로 인해 물리적 서버 하나가 다운되면 백업 서버에서 DNS 서비스를 복원할 수 있습니다.

DDoS 공격으로부터 DNS를 보호하는 가장 좋은 방법은 지리적으로 분산된 Anycast 네트워크를 사용하는 것입니다. 분산 DNS 네트워크는 유니캐스트 또는 애니캐스트 주소 지정이라는 두 가지 접근 방식을 사용하여 구현할 수 있습니다. 첫 번째 접근 방식은 구현하기가 훨씬 쉽지만 두 번째 접근 방식은 DDoS 공격에 훨씬 더 강합니다.

유니캐스트를 사용하면 회사의 각 DNS 서버가 고유한 IP 주소를 받습니다. DNS는 도메인의 DNS 서버 및 해당 IP 주소 테이블을 유지 관리합니다. 사용자가 URL을 입력하면 IP 주소 중 하나가 무작위로 선택되어 요청이 완료됩니다.

Anycast 주소 지정 방식 사용 다른 서버 DNS는 공유 IP 주소를 사용합니다. 사용자가 URL을 입력하면 DNS 서버의 집합적인 주소가 반환됩니다. IP 네트워크는 요청을 가장 가까운 서버로 라우팅합니다.

애니캐스트는 유니캐스트에 비해 근본적인 보안 이점을 제공합니다. 유니캐스트는 공격자가 특정 물리적 서버에 대한 표적 공격을 시작할 수 있도록 개별 서버 IP 주소를 제공합니다. 가상 머신이며, 본 시스템의 자원이 소진되면 서비스 장애가 발생합니다. Anycast는 서버 그룹에 요청을 분산시켜 DDoS 공격을 완화하는 데 도움을 줄 수 있습니다. Anycast는 공격의 효과를 격리하는 데도 유용합니다.

공급자가 제공하는 DDoS 보호

글로벌 Anycast 네트워크를 설계, 배포 및 운영하려면 시간, 비용, 노하우가 필요합니다. 대부분의 IT 조직에는 이를 수행할 수 있는 재능이나 재정이 없습니다. DNS 전문 관리 서비스 공급자에게 DNS 인프라를 신뢰할 수 있습니다. 이들은 DDoS 공격으로부터 DNS를 보호하는 데 필요한 지식을 갖추고 있습니다.

관리형 DNS 서비스 제공업체는 대규모 Anycast 네트워크를 운영하며 전 세계에 PoP를 보유하고 있습니다. 네트워크 보안 전문가는 연중무휴 24시간 네트워크를 모니터링하고 특수 도구를 사용하여 DDoS 공격의 영향을 완화합니다.

일부 호스팅 제공업체는 DDoS 공격에 대한 보호 기능도 제공합니다. 네트워크 트래픽은 연중무휴 24시간 분석되므로 사이트가 상대적으로 안전합니다. 이러한 보호는 최대 1500Gbit/초의 강력한 공격을 견딜 수 있습니다. 교통비가 지불됩니다.

또 다른 옵션은 IP 주소 보호입니다. 공급자는 클라이언트가 보호 대상으로 선택한 IP 주소를 특수 네트워크 분석기에 배치합니다. 공격 중에 클라이언트에 대한 트래픽은 알려진 공격 패턴과 일치됩니다. 결과적으로 클라이언트는 깨끗하고 필터링된 트래픽만 수신합니다. 따라서 사이트 사용자는 공격이 시작되었다는 사실을 알지 못할 수 있습니다. 이를 구성하기 위해 각 공격에 대해 가장 가까운 노드를 선택하고 트래픽 전송 지연을 최소화할 수 있도록 필터링 노드의 분산 네트워크가 생성됩니다.

DDoS 공격 방지 서비스를 사용하면 DDoS 공격을 시기적절하게 탐지 및 방지하고, 사이트 운영의 연속성과 사용자의 지속적인 가용성을 보장하고, 사이트 또는 포털 가동 중지 시간으로 인한 재정적 및 평판 손실을 최소화할 수 있습니다.

DDoS 공격은 어떻게 발생하며 어떤 유형의 공격이 존재합니까? 문제를 이해하는 것은 이미 해결의 절반입니다. 따라서 DDoS의 주요 유형과 사이트에서 수행되는 목적을 고려해 보겠습니다.

DDoS(분산 서비스 거부 공격)인터넷 리소스의 작동을 비활성화하거나 방해하기 위한 일련의 목표 작업입니다. 온라인 상점, 정부 웹사이트, 게임 서버 등 모든 리소스가 피해자가 될 수 있습니다. 대다수에서는 유사한 사례공격자는 이러한 목적으로 바이러스에 감염된 컴퓨터 네트워크를 사용합니다. 이러한 네트워크를 봇넷이라고 합니다. 여기에는 조정하는 메인 서버가 포함되어 있습니다. 공격을 시작하기 위해 해커는 해당 서버에 명령을 보냅니다. 그러면 서버는 각 봇에 악의적인 네트워크 요청을 시작하라는 신호를 보냅니다.

DDoS 공격을 수행하는 이유어쩌면 많이. 예를 들어:

• 재미로. 이 분야에 대해 최소한의 지식만 있으면 누구나 원시적인 공격을 조직할 수 있습니다. 사실, 그러한 공격은 익명도 아니고 효과적이지도 않으며, 그런 공격을 저지르는 사람은 그 사실조차 인식하지 못할 수도 있습니다. 학생들은 종종 재미를 위해 이러한 상황을 연습합니다. 이러한 "재미"의 대상은 인터넷상의 거의 모든 사이트일 수 있습니다.
• 개인적인 적대감으로 인해 . 이러한 이유로 귀하의 웹사이트에 DDoS 공격이 발생할 수 있습니다. 당신은 당신이 누구와 경쟁했는지, 또는 당신의 인터넷 리소스를 "좋아하지 않는" 다른 사람들이 똑같은 일을 할 수 있는지 결코 알 수 없습니다.
• 협박이나 강탈을 위해 . 사기꾼은 대부분 대기업을 협박합니다. 그들은 서버에 대한 공격을 중지하거나 공격을 수행하지 않는 대가로 수수료를 요구합니다.
• 불공정 한 경쟁 . 이러한 공격은 사이트의 평판을 파괴하고 고객 트래픽을 손실하기 위해 만들어지는 경우가 많습니다.

최초의 DDoS 공격은 1996년에 나타났습니다. 사실, 이 현상은 Amazon, Yahoo, CNN, eBay, E-Trade와 같은 세계 거대 기업이 작업 순서에서 제외된 1999년에 특별한 관심을 끌었습니다. 그리고 핵심 기업의 서버가 다시 영향을 받은 2000년이 되어서야 문제를 해결하기 위해 긴급 조치를 취하기 시작했습니다.

DDoS의 유형.

단순 트래픽은 HTTP 요청입니다. 요청의 기본은 HTTP 헤더입니다. 요청자는 원하는 만큼 헤더를 사용하여 원하는 속성을 제공할 수 있습니다. DDoS 공격자는 이러한 헤더를 수정하여 공격으로 인식하기 어렵게 만들 수 있습니다.

HTTP GET

• HTTP(S) GET 요청- 서버에 데이터를 요청하는 방법입니다. 이 요청은 웹 브라우저에 표시할 일부 파일, 이미지, 페이지 또는 스크립트를 전송하도록 서버에 "요청"할 수 있습니다.
• HTTP(S) GET 홍수 - DDoS 공격 OSI 모델의 애플리케이션 계층(7). 공격자는 리소스를 압도하기 위해 서버에 강력한 요청 스트림을 보냅니다. 이 경우 서버는 실제 방문자의 요청에 응답하지 않습니다.

HTTP 포스트

• HTTP(S) POST 요청- 데이터가 서버의 후속 처리 요청 본문에 배치되는 것이 핵심인 방법입니다. HTTP POST 요청 인코딩 전송된 정보양식에 배치한 다음 이 콘텐츠를 서버로 보냅니다. 이 방법은 많은 양의 데이터를 전송해야 할 때 사용됩니다.
• HTTP(S) POST 플러드- POST 요청 수가 서버를 압도하여 결과적으로 응답할 수 없는 DDoS 공격 유형입니다. 이로 인해 서버가 비상 정지되고 그에 따른 결과가 발생합니다.

위의 모든 요청도 HTTPS를 통해 전송되며, 이 경우 전송된 데이터는 암호화됩니다. 그리고 이러한 보호는 해커에게 이익이 됩니다. 결국, 그러한 요청을 식별하려면 서버가 먼저 이를 해독해야 합니다. 그리고 그러한 공격 중에 요청 스트림을 해독하는 것은 매우 어렵고 이로 인해 서버에 추가 부하가 발생합니다.

ICMP 플러드(또는 스머프 공격). 상당히 위험한 유형의 공격입니다. 해커는 공격자의 주소를 피해자의 주소로 변경한 가짜 ICMP 패킷을 보냅니다. 모든 노드는 이 ping 요청에 대한 응답을 보냅니다. 이를 위해 대부분의 경우 다음을 사용합니다. 대규모 네트워크피해자 컴퓨터에 기회가 없도록 말이죠.

UDP 플러드(또는 프래글 공격). 이 경우에는 UDP 패킷이 사용되지만 유형은 ICMP 플러드와 유사합니다. 대역폭 포화로 인해 피해자 서버에 대한 서비스 거부가 발생합니다.

SYN 홍수. 이 공격은 존재하지 않는 반환 주소로 SYN 패킷을 전송하여 다수의 동시 TCP 연결을 시작하는 것을 기반으로 합니다.

"무거운 소포" 보내기. 이러한 유형의 공격에서 공격자는 대역폭을 포화시키지 않고 프로세서 시간을 낭비하는 패킷을 서버에 보냅니다. 결과적으로 시스템이 중단되고 사용자는 리소스를 얻을 수 없습니다.

로그 파일로 인한 서버 오버플로. 로그 파일 순환 시스템이 올바르지 않으면 사기꾼은 곧 모든 것을 차지할 큰 패킷을 보낼 수 있습니다. 자유로운 장소서버의 하드 드라이브에 있습니다. 그 결과 시스템이 충돌했습니다.

코드 오류. 이 활동 분야에 경험이 있는 일부 공격자는 상업 조직의 복잡한 시스템을 공격할 수 있는 특수 공격 프로그램을 개발합니다. 이를 위해 서비스 종료로 이어질 수 있는 프로그램 코드의 오류를 찾습니다.

단점 프로그램 코드 . 동일한 상황: 해커는 프로그램 코드나 OS에서 오류를 찾는 동시에 프로그램이 실패하는 예외적인 상황을 처리하도록 강제합니다.

DDoS에 대응하는 방법은 두 가지 유형으로 나눌 수 있습니다.능동태와 수동태. 수동적 방법은 사전에 준비된 공격 예방 및 예방 방법이며, 활성 방법은 현재 공격이 이미 진행 중인 경우에 사용됩니다.

물론 주요 패시브 방법은 다음과 같습니다.방지. 많은 사람들이 이 방법을 중요하지 않다고 생각하지만 대부분의 경우 여전히 주요 방법입니다.

예방은 개인적인 적대감, 경쟁, 종교적 또는 기타 차이와 같은 요인을 배제하는 데 기반을 두어야 합니다. 이러한 이유가 시간 내에 제거되고 적절한 결론이 도출되면 DDoS는 인터넷 리소스에 영향을 미치지 않습니다. 하지만 이 방법은 문제의 기술적 측면보다는 관리에 더 가깝습니다.

용법 전문 소프트웨어 및 하드웨어.

오늘날 많은 제조 회사에서는 DDoS 공격으로부터 보호하기 위해 특별하고 기성품인 솔루션을 개발했습니다. 이는 다양한 유형의 조직을 위해 크고 작은 사이트를 보호하기 위한 다양한 유형의 소프트웨어입니다. 이는 예방적 방법이므로 수동적 보호 방법으로도 간주됩니다.

트래픽 필터링 및 차단공격하는 기계에서 나오는 , 공격을 줄이거 나 완전히 진압하는 것이 가능합니다. 필터링 방법에는 ACL을 사용한 라우팅과 방화벽을 사용한 두 가지 필터링 방법이 있습니다. ACL을 사용하면 영향을 주지 않고 중요하지 않은 프로토콜을 필터링할 수 있습니다. TCP 프로토콜사용자의 리소스 작업 속도를 늦추지 않고. 방화벽은 개인 네트워크를 보호하기 위해서만 사용됩니다.

역방향 DDoS– 트래픽을 공격자에게 리디렉션합니다. 서버 전력이 충분하다면 공격을 극복할 수 있을 뿐만 아니라 공격자의 장비를 무력화시킬 수도 있습니다. 사실인가요? 이 유형 OS, 시스템 서비스 또는 웹 애플리케이션의 프로그램 코드에 오류가 있는 경우 보호합니다.

취약점 수정– 보호 유형은 시스템이나 서비스의 오류를 제거하는 것을 목표로 합니다. 불행하게도 이 보호 방법은 홍수 공격에는 효과가 없습니다.

분산 시스템 구축– DDoS 공격으로 인해 일부 노드를 사용할 수 없는 경우에도 사용자에게 서비스를 제공할 수 있습니다. 이를 위해 서로 다른 DC에 위치한 다양한 유형의 네트워크 또는 서버 장비가 사용됩니다. 백업 시스템도 설치되는 경우가 많습니다. 이는 평판을 중요시하고 사용자 수가 많은 대규모 프로젝트에 유용합니다.

모니터링– 특별 모니터링 및 경고 시스템 설치. 특정 기준에 따라 DDoS 공격을 계산하는 것이 가능해집니다. 모니터링은 공격을 받고 있는 시스템을 직접적으로 보호하지는 않지만 적시에 대응하고 리소스 운영 체제의 오류를 방지할 수 있도록 해줍니다. 물론 이것은 수동적인 보호 방법이다.

DDoS 보호 서비스 구매– 공격 서버에 대한 원치 않는 트래픽을 필터링하는 다양한 메커니즘을 사용하여 다양한 유형의 DDoS 공격으로부터 보호할 수 있습니다. 사실, 그러한 서비스는 저렴하지 않습니다.

온라인 리소스에 DDoS 공격을 가하는 사기꾼의 위협에 대응하는 방법은 무엇입니까? 자세한 내용은 다음에서 다루겠습니다.

위에 설명된 일련의 조치만이 DDoS로부터 사이트를 보호하고 서비스를 보호하는 데 도움이 됩니다.

DDoS 공격에 대해. 인터넷에서 리소스를 보호하기 위한 기본 규칙에 대한 자세한 내용은 다음을 참조하세요.

9109회 오늘 조회수 11회

DDoS 공격을 명령하는 데는 많은 지능이 필요하지 않습니다. 해커에게 돈을 지불하고 경쟁자의 패닉에 대해 생각하십시오. 처음에는 감독의 의자에서, 그다음에는 감옥 침대에서.

정직한 기업가가 해커에게 의지하는 것이 가장 마지막으로 해야 할 일인 이유와 그 결과에 대해 설명합니다.

DDoS 공격을 수행하는 방법초등학생도 알아요

오늘날 DDoS 공격을 조직하는 도구는 누구나 사용할 수 있습니다. 초보 해커의 진입 장벽은 낮습니다. 따라서 러시아 사이트에 대한 짧지만 강력한 공격의 비율은성장했다. 해커그룹은 그저 기술을 연습하고 있는 것 같습니다.

지목 사항. 2014년 타타르스탄 공화국 교육 포털 DDoS 공격을 받았습니다. 언뜻보기에 공격에는 아무런 의미가 없습니다. 이것은 상업 조직이 아니며 물어볼 것도 없습니다. 포털에는 성적, 수업 일정 등이 표시됩니다. 더 이상은 없어. Kaspersky Lab 전문가는 타타르스탄의 학생과 학생들이 토론하는 VKontakte 그룹을 발견했습니다. DDoS 공격을 수행하는 방법.

타타르스탄 공화국 체제에 반대하는 젊은 전사들의 공동체

"타타르스탄에서 DDoS 공격을 수행하는 방법"에서 파생된 쿼리를 통해 사이버 보안 전문가는 흥미로운 발표를 하게 되었습니다. 공연자들은 빨리 발견되었고 그들은해야했습니다손해 배상을 위해.

예전엔 일기장을 찢었는데 이제는 웹사이트를 해킹해

DDoS 공격은 단순하기 때문에 도덕적 원칙이나 자신의 능력에 대한 이해가 없는 초보자가 공격을 가합니다. 고객 데이터를 재판매할 수도 있습니다. DDoS 공격 가해자의 부활은 세계적인 추세입니다.

2017년 봄 징역형영국학생이 받았습니다. 그는 16세 때 창조했다. DDoS 공격 프로그램 Titanium Stresser. 영국인은 판매로 40만 파운드(2,900만 루블)를 벌었습니다. 이 DDoS 프로그램을 사용하여 전 세계적으로 65만 명의 사용자를 대상으로 200만 건의 공격이 수행되었습니다.

이 십대들은 대규모 DDoS 그룹인 Lizard Squad와 PoodleCorp의 구성원인 것으로 밝혀졌습니다. 젊은 미국인들이 그들만의 아이디어를 내놓았습니다. DDoS 프로그램이지만 온라인 게임에서 이점을 얻기 위해 게임 서버를 공격하는 데 사용되었습니다. 그것이 그들이 발견된 방법입니다.

어제의 학생들에게 회사의 명성을 믿을지 여부는 모두가 스스로 결정할 것입니다.

다음에 대한 처벌DDoS 프로그램러시아에서

DDoS 공격을 수행하는 방법경쟁의 규칙을 따르기를 원하지 않는 기업가에게 관심이 있습니다. 이것이 러시아 내무부 K국 직원들이 하는 일이다. 그들은 공연자들을 붙잡습니다.

러시아 법률은 사이버 범죄에 대한 처벌을 규정하고 있습니다. 현재 관행에 따르면 DDoS 공격 참가자는 다음 항목에 속할 수 있습니다.

고객.그들의 행동은 대개 다음과 같습니다.- 법적으로 보호되는 항목에 대한 불법적인 접근 컴퓨터 정보.

처벌:최대 7년의 징역 또는 최대 50만 루블의 벌금이 부과됩니다.

예. Kurgan 시 행정부의 기술 정보 보호 부서 직원이 이 조항에 따라 유죄 판결을 받았습니다. 그는 다기능 메타 프로그램을 개발했습니다. 공격자는 이를 통해 해당 지역 주민 130만 명의 개인 데이터를 수집했습니다. 그 후 나는 그것을 은행과 수금 기관에 팔았습니다. Hackera는 2년의 징역형을 받았습니다.

공연자.원칙적으로 다음과 같은 처벌을 받습니다.러시아 연방 형법 273조 - 악성 컴퓨터 프로그램의 생성, 사용 및 배포.

처벌.최대 20만 루블의 벌금과 함께 최대 7년의 징역형을 선고받을 수 있습니다.

예.톨리야티 출신의 19세 학생 2.5년의 유예와 1,200만 루블의 벌금을 받았습니다. 사용하여 그는 DDoS 공격 프로그램을 이용하여 정보 자원과 은행 웹사이트를 다운시키려고 했습니다. 공격 후 학생은 돈을 갈취했습니다.

부주의한 사용자.데이터 저장 시 보안 규칙을 준수하지 않을 경우 다음과 같은 처벌을 받을 수 있습니다.러시아 연방 형법 274조 - 컴퓨터 정보와 정보 통신 네트워크를 저장, 처리 또는 전송하는 수단의 운영 규칙 위반.

처벌:최대 5년의 징역 또는 최대 50만 루블의 벌금이 부과됩니다.

예.정보에 접근하는 과정에서 어떠한 방법으로든 금전을 도난당한 경우 해당 물품은 컴퓨터정보 분야 사기로 재분류됩니다.). 그래서 식민지 정착지에서 2년 동안 은행 서버에 액세스한 우랄 해커가 수신했습니다.

언론에 대한 공격.DDoS 공격이 언론인의 권리를 침해하는 것을 목표로 하는 경우 해당 조치는 다음과 같습니다. - 언론인의 합법적인 직업 활동을 방해하는 행위.

처벌:최대 6년의 징역 또는 최대 80만 루블의 벌금이 부과됩니다.

예.이 기사는 종종 더 어려운 기사로 재분류됩니다. DDoS 공격을 수행하는 방법 Novaya Gazeta, Ekho Moskvy 및 Bolshoy Gorod를 공격한 사람들은 알고 있었습니다. 지역 간행물도 해커의 피해자가 되고 있다.

러시아에서는 사용 시 심각한 처벌을 받습니다. DDoS 프로그램 . “K” 부서의 익명성은 당신을 구하지 못할 것입니다.

DDoS 공격용 프로그램

전문가에 따르면 2,000개의 봇이면 일반 웹사이트를 공격하기에 충분합니다. DDoS 공격 비용은 20달러(1,100루블)부터 시작됩니다. 공격 채널 수와 작동 시간은 개별적으로 논의됩니다. 강탈도 있습니다.

괜찮은 해커는 공격 전에 침투 테스트를 수행합니다. 군에서는 이 방법을 "현행 정찰"이라고 부릅니다. 침투 테스트의 본질은 사이트의 방어 자원을 알아내기 위한 소규모의 통제된 공격입니다.

흥미로운 사실.DDoS 공격을 수행하는 방법많은 사람들이 알고 있지만 해커의 힘은 봇넷에 의해 결정됩니다. 종종 공격자들은 서로 "군대"에 대한 액세스 키를 훔친 후 재판매합니다. 잘 알려진 요령은 Wi-Fi를 "꺼서" 강제로 재부팅하고 기본 설정으로 돌아가는 것입니다. 이 상태에서는 비밀번호가 표준입니다. 다음으로 공격자는 조직의 모든 트래픽에 대한 액세스 권한을 얻습니다.

최근 해커 트렌드는 스마트 기기를 해킹해 암호화폐 채굴기를 설치하는 것입니다. 이러한 조치는 사용 조항에 따라 자격이 있을 수 있습니다. 악성 코드(러시아 연방 형법 제 273조). 그래서 FSB 직원구금 시스템 관리자미션 컨트롤 센터. 그는 자신의 작업 장비에 광부를 설치하고 부자가 되었습니다. 공격자는 전력 서지로 식별되었습니다.

해커는 경쟁업체에 DDoS 공격을 감행합니다. 그런 다음 액세스할 수 있습니다. 컴퓨팅 파워비트코인 한두 개를 채굴해 보세요. 이 수입만이 고객에게 돌아가지 않습니다.

DDoS 공격 명령의 위험

경쟁업체에 대한 DDoS 공격 명령의 장점과 단점을 비교하여 요약해 보겠습니다.

경쟁업체가 비즈니스를 짜증나게 했다면 해커는 도움을 주지 않을 것입니다. 그들은 상황을 더욱 악화시킬 뿐입니다. 에이전시 '디지털샤크스' 합법적인 수단을 통해 원치 않는 정보를 제공합니다.